Escolha a permissão ou as permissões marcadas como menos privilegiadas para essa API. Use uma permissão ou permissões privilegiadas mais altas somente se o aplicativo exigir. Para obter detalhes sobre permissões delegadas e de aplicativo, consulte Tipos de permissão. Para saber mais sobre essas permissões, consulte a referência de permissões.
Tipo de permissão
Permissões menos privilegiadas
Permissões privilegiadas mais altas
Delegado (conta corporativa ou de estudante)
Domain.ReadWrite.All
Indisponível.
Delegado (conta pessoal da Microsoft)
Sem suporte.
Sem suporte.
Aplicativo
Domain.ReadWrite.All
Indisponível.
Importante
Esse método tem um problema de permissões conhecido e pode exigir consentimento para a permissão Directory.AccessAsUser.All para cenários delegados.
Para cenários delegados, o usuário de chamada deve receber pelo menos uma das seguintes funções de Microsoft Entra:
Você pode especificar as propriedades a seguir ao criar uma internalDomainFederation.
Propriedade
Tipo
Descrição
displayName
Cadeia de caracteres
O nome de exibição do provedor de identidade federado.
issuerUri
Cadeia de caracteres
URI do emissor do servidor de federação.
metadadosExchangeUri
Cadeia de caracteres
URI do ponto de extremidade de troca de metadados usado para autenticação de aplicativos cliente avançados.
signingCertificate
Cadeia de caracteres
Certificado atual usado para assinar tokens passados para o plataforma de identidade da Microsoft. O certificado é formatado como uma cadeia de caracteres codificada base 64 da parte pública do certificado de assinatura de token do IdP federado e deve ser compatível com a classe X509Certificate2. Essa propriedade é usada nos seguintes cenários:
Se uma rolagem for necessária fora da atualização de rolagem automática
Um novo serviço de federação está sendo configurado
Se o novo certificado de assinatura de token não estiver presente nas propriedades de federação após a atualização do certificado do serviço de federação. Microsoft Entra ID atualiza certificados por meio de um processo de autorollover no qual tenta recuperar um novo certificado dos metadados do serviço de federação, 30 dias antes do término do certificado atual. Se um novo certificado não estiver disponível, Microsoft Entra ID monitorará os metadados diariamente e atualizará as configurações de federação para o domínio quando um novo certificado estiver disponível.
passiveSignInUri
Cadeia de caracteres
URI ao qual os clientes baseados na Web são direcionados ao entrar nos serviços de Microsoft Entra.
preferredAuthenticationProtocol
authenticationProtocol
Protocolo de autenticação preferencial. Os valores possíveis são: wsFed, saml, unknownFutureValue.
activeSignInUri
Cadeia de caracteres
URL do ponto de extremidade usado por clientes ativos ao autenticar com domínios federados configurados para logon único no Microsoft Entra ID. Corresponde à propriedade ActiveLogOnUri do cmdlet Set-MsolDomainFederationSettings MSOnline v1 PowerShell.
Define o comportamento preferencial para o prompt de entrada. Os valores possíveis são: translateToFreshPasswordAuthentication, nativeSupport, disabled, unknownFutureValue.
isSignedAuthenticationRequestRequired
Booliano
Se for true, quando as solicitações de autenticação SAML forem enviadas para o IDP de SAML federado, Microsoft Entra ID assinará essas solicitações usando a chave de assinatura OrgID. Se false (padrão), as solicitações de autenticação SAML enviadas ao IDP federado não serão assinadas.
nextSigningCertificate
Cadeia de caracteres
Certificado de assinatura de token de fallback que é usado para assinar tokens quando o certificado de assinatura primária expira. Formatada como cadeias de caracteres codificadas base 64 da parte pública do certificado de assinatura de token do IdP federado. Precisa ser compatível com a classe X509Certificate2. Assim como a assinaturaCertificate, a propriedade nextSigningCertificate será usada se uma rolagem for necessária fora da atualização de registro automático, um novo serviço de federação está sendo configurado ou se o novo certificado de assinatura de token não estiver presente nas propriedades da federação após a atualização do certificado de serviço de federação.
Fornece status e carimbo de data/hora da última atualização do certificado de assinatura.
federatedIdpMfaBehavior
federatedIdpMfaBehavior
Determina se Microsoft Entra ID aceita o MFA executado pelo IdP federado quando um usuário federado acessa um aplicativo que é regido por uma política de acesso condicional que requer MFA. Os valores possíveis são: acceptIfMfaDoneByFederatedIdp, enforceMfaByFederatedIdp, rejectMfaByFederatedIdp, unknownFutureValue. Para obter mais informações, confira valores federatedIdpMfaBehavior.
Observação
Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização sobre substituição. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.
Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para obter respostas para perguntas de migração comuns, consulte as perguntas frequentes sobre migração. Observação: as versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.
valores federatedIdpMfaBehavior
Member
Descrição
acceptIfMfaDoneByFederatedIdp
Microsoft Entra ID aceita o MFA executado pelo provedor de identidade federado. Se o provedor de identidade federado não executou o MFA, Microsoft Entra ID executará o MFA.
enforceMfaByFederatedIdp
Microsoft Entra ID aceita o MFA executado pelo provedor de identidade federado. Se o provedor de identidade federado não executou o MFA, ele redirecionará a solicitação ao provedor de identidade federado para executar o MFA.
rejectMfaByFederatedIdp
Microsoft Entra ID sempre executa mfa e rejeita MFA executada pelo provedor de identidade federado.
// Code snippets are only available for the latest version. Current version is 5.x
// Dependencies
using Microsoft.Graph.Models;
var requestBody = new InternalDomainFederation
{
OdataType = "#microsoft.graph.internalDomainFederation",
DisplayName = "Contoso",
IssuerUri = "http://contoso.com/adfs/services/trust",
MetadataExchangeUri = "https://sts.contoso.com/adfs/services/trust/mex",
SigningCertificate = "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
PassiveSignInUri = "https://sts.contoso.com/adfs/ls",
PreferredAuthenticationProtocol = AuthenticationProtocol.WsFed,
ActiveSignInUri = "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
SignOutUri = "https://sts.contoso.com/adfs/ls",
PromptLoginBehavior = PromptLoginBehavior.NativeSupport,
IsSignedAuthenticationRequestRequired = true,
NextSigningCertificate = "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
FederatedIdpMfaBehavior = FederatedIdpMfaBehavior.RejectMfaByFederatedIdp,
};
// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.Domains["{domain-id}"].FederationConfiguration.PostAsync(requestBody);
// Code snippets are only available for the latest version. Current version is 6.x
GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);
InternalDomainFederation internalDomainFederation = new InternalDomainFederation();
internalDomainFederation.setOdataType("#microsoft.graph.internalDomainFederation");
internalDomainFederation.setDisplayName("Contoso");
internalDomainFederation.setIssuerUri("http://contoso.com/adfs/services/trust");
internalDomainFederation.setMetadataExchangeUri("https://sts.contoso.com/adfs/services/trust/mex");
internalDomainFederation.setSigningCertificate("MIIE3jCCAsagAwIBAgIQQcyDaZz3MI");
internalDomainFederation.setPassiveSignInUri("https://sts.contoso.com/adfs/ls");
internalDomainFederation.setPreferredAuthenticationProtocol(AuthenticationProtocol.WsFed);
internalDomainFederation.setActiveSignInUri("https://sts.contoso.com/adfs/services/trust/2005/usernamemixed");
internalDomainFederation.setSignOutUri("https://sts.contoso.com/adfs/ls");
internalDomainFederation.setPromptLoginBehavior(PromptLoginBehavior.NativeSupport);
internalDomainFederation.setIsSignedAuthenticationRequestRequired(true);
internalDomainFederation.setNextSigningCertificate("MIIE3jCCAsagAwIBAgIQQcyDaZz3MI");
internalDomainFederation.setFederatedIdpMfaBehavior(FederatedIdpMfaBehavior.RejectMfaByFederatedIdp);
InternalDomainFederation result = graphClient.domains().byDomainId("{domain-id}").federationConfiguration().post(internalDomainFederation);
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.